J'ai un site Web sur lequel je vais vendre quelques produits. Il est hébergé sur un simple hébergement partagé et n'a pas de protocole SSL.
Sur la page des produits, chaque produit comporte un bouton Acheter maintenant créé à partir de mon compte Paypal . Paypal recommande d'utiliser fabrique de boutons pour créer des boutons sécurisés et les sauvegarder à l'intérieur Paypal lui-même. J'ai suivi le même conseil et le code de n'importe quel bouton est sécurisé et ne divulgue aucune information sur un produit ou son prix.
Lorsque l'utilisateur clique sur un bouton Acheter maintenant, il est dirigé vers le site Paypal où une page est ouverte en SSL. pour que l'utilisateur remplisse la carte de crédit et les détails d'expédition. Après une transaction réussie, le contrôle est renvoyé sur mon site.
Je veux savoir s'il y a encore une chance que la sécurité soit compromise.
Jetez un coup d'œil sur CWE/SANS - Les 25 erreurs de programmation les plus dangereuses et réfléchissez aux menaces que pourrait poser un accès non autorisé à votre système de fichiers (par exemple, que se passe-t-il si un attaquant ajoute un code Javascript malveillant sur vos pages?) - Les pratiques de sécurité des hôtes partagés varient énormément entre les fournisseurs. Vous pouvez donc consulter les offres et les pratiques de votre hôte si vous estimez que vous êtes préoccupé.
Absolument, mais peu probable selon le type de produit.
Si vous parlez de produits/téléchargements numériques, c'est un tout autre aspect et des problèmes de sécurité.
Si vous ne faites que vérifier les transactions Paypal et ensuite faire manuellement quelque chose comme terminer/expédier une commande, vous devriez être d'accord - mais si la page de confirmation contient un script quelconque, il peut être possible de "prétendre" que la commande a été complétée etc.
Comme vous n'hébergez rien des paiements, je dirais que même si vous étiez ciblé, tout type de "problème" sera simplement limité aux temps d'arrêt pendant la récupération (sauvegardes régulières), mais vous devez être assez sûr.
La liste de liens sans danlefree est un grand recueil des problèmes de sécurité les plus courants dans les applications en ligne et hors ligne (probablement une liste de contrôle utile pour la plupart des projets), mais en dehors de ces préoccupations générales, il n’existe pas beaucoup de solutions spécifiques au commerce électronique problèmes à régler si vous utilisez un traitement de paiement hors site comme le standard Paypal.
Je veux dire, si votre utilisateur est la cible d'une attaque MITM (Man-in-the-Middle), il est alors possible que ses paiements soient redirigés vers le compte Paypal de l'attaquant (ou que ses identifiants Paypal soient volés), mais il s'agit d'un scénario vraiment improbable OMI. Mais si vous voulez être en sécurité, obtenir un certificat SSL et l'utiliser sur l'ensemble du site peut en valoir la peine. Mais les principaux problèmes de sécurité liés au commerce électronique ne surviennent réellement que lorsque vous commencez à traiter des informations personnelles identifiables (PII) et d'autres informations sensibles sur site. Dans ce cas, vous devez commencer à utiliser le cryptage TLS, à utiliser un hôte Web sécurisé et à vous conformer aux meilleures pratiques en matière de sécurité (par exemple, stocker uniquement des hachages de mots de passe salés, adhérer à la norme PCI-DSS, etc.).
S'il s'agit de votre premier site de commerce électronique, il est probablement préférable que vous utilisiez le traitement des paiements hors site et que vous accordiez une attention particulière aux guides d'intégration (par exemple, la section sur la sécurisation des paiements sur les sites Web dans le guide d'intégration standard de Paypal). La seule autre chose à laquelle je peux penser est d'éviter d'utiliser des courriels pour gérer les commandes. En effet, il est possible pour un utilisateur malveillant d'usurper un e-mail de notification de commande sans passer de commande. Donc, vérifiez toujours votre tableau de bord Paypal pour gérer/vérifier les commandes.